Sicherheitslücken: Bankautomaten hacken mit Netzwerkkabel und Tastatur

26 Geldautomaten testete die Sicherheitsfirma Positive Technologies, bei allen fand sie Sicherheitsprobleme. Viele der Probleme sind lange bekannt, doch noch immer sind die Geräte unzureichend geschützt.

Artikel veröffentlicht am , Anna Biselli
Fast alle Geldautomaten haben Sicherheitsprobleme.
Fast alle Geldautomaten haben Sicherheitsprobleme. (Bild: Mirza Babic/Unsplash.com)

Die IT-Sicherheitsfirma Positive Technologies hat in einer ausführlichen Analyse 26 gängige Bankautomaten getestet und bei allen Automaten Schwachstellen gefunden. Die Sicherheitsforscher untersuchtem dabei verschiedene Angriffsmöglichkeiten, von der Netzwerkschnittstelle bis hin zur Verbindung von externen USB-Geräten.

Sie haben dafür Bankautomaten der Firmen NCR, Diebold Nixdorf und GRGBanking untersucht und zunächst ihre Systemeigenschaften analysiert. Dabei stellten sie unter anderem fest, dass 15 der Gerätetypen immer noch auf Windows XP laufen, für das der Support bereits im Jahr 2014 eingestellt wurde.

Mit einer externen Tastatur und Alt+F4 Zugriff aufs Betriebssystem bekommen

Bei 76 Prozent der Geräte konnten Angreifer den Kiosk-Modus umgehen. In der Regel soll die einzige zugängliche Anwendung das Geldautomaten-Programm sein. Lässt das Gerät zu, dass diese beendet wird, können sich Angreifer Zugriff auf das darunterliegende Betriebssystem verschaffen und andere Prozesse starten. Dafür müssen sie physischen Zugriff auf die Peripherieschnittstellen haben, um beispielsweise eine Maus oder eine Tastatur anzuschließen. Oftmals verhindert die Automatensoftware nicht, dass gängige Tastenkombinationen wie Alt+F4 benutzt werden, um ein Programm zu schließen.

85 Prozent der Automaten waren verwundbar für netzwerkbasierte Angriffe. Diese können unter anderem darin bestehen, dass Angreifer sich zwischen den Automaten und das Processing Center auf dem Bank-Server schalten. So können sie etwa die Anzahl der Banknoten manipulieren, die der Automat ausgibt. Diese Verwundbarkeit besteht dann, wenn die Datenübertragung zwischen dem Automaten und der Bank nicht verschlüsselt ist, VPN-Verbindungen entweder nicht bestehen oder umgangen werden können und die Datenübertragungen nicht authentifiziert werden - und der Automat so die Quelle der Steuerungsanweisungen nicht überprüft.

Mit dem Netzwerkkabel die Kommunikation zwischen Bank und Automat manipulieren

Netzwerkangriffe setzen voraus, dass Angreifer physischen Zugriff auf die Netzwerkschnittstelle des Automaten haben. Bei manchen Gerätetypen befindet sich diese innerhalb des Gerätes und der Automat müsste aufgebrochen werden. Bei anderen befand sich das Modem jedoch sogar außerhalb der Gehäuse, so dass der Zugriff leichtfällt.

Ein weiterer getesteter Angriffstyp sind die sogenannten Black-Box-Attacken, bei denen Zugriff auf die Schnittstelle von der Geldausgabe-Einheit zur Steuerungseinheit des Automaten notwendig ist. 69 Prozent der untersuchten Geräte waren hierfür anfällig. Die Forscher gaben an, dass ein solcher Angriff etwa zehn Minuten dauern würde.

Dafür könne man auch einen einfachen Raspberry Pi benutzen, der zwischen die beiden Gerätebestandteile geschaltet wird. Fehlen an dieser Stelle Verschlüsselungs- und Authentifizierungsmethoden, lassen sich auch in diesem Fall eigene Kommandos ausführen oder sogar manipulierte Firmware installieren.

Die meisten Verwundbarkeiten waren bereits bekannt

Die meisten der Verwundbarkeiten, die die Forscher fanden, waren bekannt und wurden bereits ausgenutzt. Im Jahr 2016 führte die IT-Sicherheitsfirma Kaspersky eine Analyse durch und fand heraus, dass beinahe jeder Geldautomat weltweit gekapert werden könne. Auf der US-Hacker-Konferenz Black Hat demonstrieren Sicherheitsexperten regelmäßig Angriffe auf diese Geräte, im Jahr 2017 hackten sie einen Automaten der Firma Diebold Nixdorf, der daraufhin Geld ausgab, bis er leer war.

Doch die Forscher fanden in diesem Jahr auch drei zuvor unbekannte Verwundbarkeiten im Sicherheitsmodul Safensoft Softcontrol. Sie konnten zunächst das Passwort im Klartext auslesen, mit dem das Modul konfiguriert werden konnte und es so ausschalten. Im zweiten Schritt konnten sie den Softwarebestandteil aushebeln, der die Integrität installierter Software prüft, und so in einem weiteren Schritt bei Updates beliebige Software auf den Automaten spielen.

Viele der Angriffe würde es bereits vereiteln, wenn der physische Zugang zu den Schnittstellen der Geräte erschwert würde. Im Vergleich zum Safe, der die Banknoten enthält, kann man auf die Kabel der Geräte vergleichsweise leicht zugreifen - etwa durch ein ins Gehäuse gebohrtes Loch. Als weitere Vorsichtsmaßnahme empfahl Leigh-Anne Galloway, Leiterin der Cybersicherheitsabteilung von Positive Technologies, Logging- und Monitoringmechanismen zu etablieren, um Angriffe schnell erkennen zu können und die Sicherheitslücken zu schließen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


natrius 28. Nov 2018

Ja, getestet, nein, funktioniert nicht.

FreiGeistler 21. Nov 2018

Och, das mit den Dieseln finde ich ganz in Ordnung. Insbesondere da Deutsche Fahrzeuge...

dummzeuch 21. Nov 2018

... kann es der Allgemeinheit doch egal sein. Wenn die Bank durch Sicherheitslücken am...

M.P. 20. Nov 2018

Die Anmutung erinnert schon ein wenig an "Rotlichtviertel" ...



Aktuell auf der Startseite von Golem.de
Truppenversuch
Microsofts Kampfbrille macht Soldaten schlechter

Beim Truppenversuch der modifizierten Hololens 2 für die US-Armee hat sich herausgestellt, dass die Soldaten an Kampfkraft einbüßen und die Brillen ablehnen.

Truppenversuch: Microsofts Kampfbrille macht Soldaten schlechter
Artikel
  1. Nutzertest: Deutsche Glasfaser erreicht 1 GBit/s nicht ganz
    Nutzertest
    Deutsche Glasfaser erreicht 1 GBit/s nicht ganz

    Ein Kunde hat seine Hardware aufgerüstet, dennoch bekommt er statt 1 GBit/s nur 950 MBit/s im Download. Deutsche Glasfaser forscht nach.

  2. Morgan Stanley: Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter
    Morgan Stanley
    Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter

    Wegen der Nutzung von Whatsapp hatten Finanzregulatoren 2022 mehrere Banken mit hohen Strafen belegt.

  3. Deutschlandticket: 49-Euro-Ticket kommt erst zum 1. Mai
    Deutschlandticket
    49-Euro-Ticket kommt erst zum 1. Mai

    Fahrgäste können ab dem 1. Mai 2023 für 49 Euro im Monat das Deutschlandticket bundesweit nutzen. Dazu kommt ein bundesweites Jobticket zu einem günstigeren Preis.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • XFX RX 7900 XTX 1.199€ • WSV bei MM • Razer Viper V2 Pro 119,99€ • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM/Graka-Preisrutsch • Razer Gaming-Stuhl -41% • 3D-Drucker 249€ • Kingston SSD 1TB 49€ • Asus RTX 4080 1.399€[Werbung]
    •  /